GDPR: de do’s en dont’s bij de beëindiging van de samenwerking met werknemers en zelfstandige medewerkers

In onze 12^e editie van oktober 2023 schreven we al over de do’s en dont’s op het vlak van GDPR bij de aanwerving van werknemers. Deze keer richten we onze aandacht op de beëindiging van de arbeidsovereenkomst en geven we een handig overzicht van alle GDPR-verplichtingen die daarbij komen kijken voor de werkgever.

! De GDPR is van toepassing op gegevens van alle natuurlijke personen. De onderstaande GDPR-verplichtingen gelden bijgevolg ook bij de beëindiging van de samenwerking met een zelfstandige dienstverlener !

Ter herinnering: basisprincipes GDPR

De GDPR is van toepassing op alle verwerkingen van persoonsgegevens die u doet als werkgever.

Persoonsgegevens dienen daarbij verstaan te worden als alle gegevens die teruggebracht kunnen worden naar een geïdentificeerde of identificeerbare natuurlijke persoon. Zoals bv. naam, adres en e-mailadres. Een verwerking is elke bewerking met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken.

Aldus volstaat het bijhouden van gegevens van een ex-werknemer om te spreken van een verwerking van persoonsgegevens en onderworpen te zijn aan de GDPR-verplichtingen. Louter mondelinge communicatie valt in principe buiten het toepassingsgebied van de GDPR.

Een van de basisregels van de GDPR is dat een verwerking van persoonsgegevens maar toegelaten is op voorwaarde dat daartoe een specifieke rechtsgrond bestaat. Aangezien de uitvoering van de arbeidsovereenkomst erkend wordt als rechtsgrond, levert dit zelden problemen op tijdens de duur van de arbeidsovereenkomst. Bij de beëindiging vervalt deze rechtsgrond. De werkgever kan dus maar de persoonsgegevens van de ex-werknemer verwerken op voorwaarde dat daartoe een andere rechtsgrond bestaat, zoals bv. een wettelijke verplichting, de gerechtvaardigde belangen van de onderneming of het akkoord van de werknemer.

GDPR-aandachtspunten bij de beëindiging van de arbeidsovereenkomst

1) Een GDPR-conforme ontslagcommunicatie:

De schriftelijke aankondiging van de beëindiging van de arbeidsovereenkomst is een verwerking van persoonsgegevens en moet dus voldoen aan de GDPR-verplichtingen.

• De werknemer gaat akkoord met de wijze waarop het ontslag zal worden aangekondigd

Een ontslagaankondiging die vooraf expliciet is goedgekeurd door de werknemer, is GDPR conform en is niet onderworpen aan de onderstaande inhoudelijke beperkingen.

• Er is geen akkoord met de werknemer over de aankondiging van het ontslag

Ook wanneer er geen specifiek akkoord is, behoudt de werkgever het recht om aan te kondigen dat een werknemer niet langer in dienst is. Hierbij gelden evenwel enkele inhoudelijke beperkingen:

! Louter mondelinge communicatie valt niet binnen het toepassingsgebied van de GDPR. De bovenstaande beperkingen gelden dus niet wanneer de werkgever enkel mondeling over het ontslag communiceert. Uiteraard blijven de algemene principes van eerbied en achting wel steeds gelden. Daardoor zal u als werkgever ook mondeling niet kunnen communiceren dat het bijvoorbeeld om een ontslag wegens dringende reden gaat en waaruit deze dringende reden bestaat !

2) Wat met het professioneel e-mailaccount van ex-werknemers?

In sommige gevallen wordt het professioneel e-mailadres van de werknemer beschouwd als een persoonsgegeven en gelden de GDPR-verplichtingen:

Als het professioneel e-mailadres een persoonsgegeven uitmaakt, vervalt bij het einde van de arbeidsrelatie de rechtsgrond voor de werkgever om dit persoonsgegeven te verwerken. De werkgever zal het professioneel e-mailaccount dan moeten verwijderen. De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit voorziet hiervoor de volgende richtlijnen:

• Het e-mailaccount moet ten laatste op de dag van het vertrek van de werknemer gedeactiveerd worden.
• Na de desactivativering mag de werkgever het e-mailadres nog enige tijd laten voortbestaan. Daarbij kan een automatisch antwoord worden ingesteld waarin vermeld wordt dat de werknemer de onderneming heeft verlaten en met de contactgegevens van zijn of haar opvolger.
• Na een redelijke termijn moet het e-mailaccount verwijderd worden. In de meeste gevallen is dit ten laatste één maand na het vertrek van de werknemer uit de onderneming. In uitzonderlijke gevallen wanneer de ex-werknemer bv. een hogere functie had, kan deze termijn verlengd worden naar 3 maanden. Deze verlenging moet gemotiveerd worden en gebeurt best met het akkoord van de werknemer.

Niet alleen het professioneel e-mailadres, maar ook de inhoud van de mailbox is aan de GDPR-verplichtingen onderworpen. Soms hebben de ex-werknemer of de werkgever na het einde van de arbeidsovereenkomst toegang nodig tot informatie die zich nog bevindt in de professionele mailbox. In beide gevallen kan u hier best vooraf op anticiperen bij het vertrek van de werknemer uit de onderneming:

• De werknemer moet voor zijn vertrek de kans krijgen om e-mails te sorteren en privé e-mails door te sturen naar zijn privéadres.
• Ook in het geval de werkgever toegang nodig heeft, is het best om hier vooraf op te anticiperen door voor het vertrek van de werknemer in zijn bijzijn een selectie te maken van de mails die van wezenlijk belang zijn voor de continuïteit van de onderneming en deze vooraf op te slaan. Als het in uitzonderlijke gevallen toch nodig zou zijn om achteraf nog toegang te nemen tot de mailbox van een ex-werknemer gebeurt dit best door een vertrouwenspersoon die hiervoor vooraf is aangesteld in de IT-policy.

3) Een IT-policy: goede afspraken maken goede vrienden

Het is aangeraden om binnen uw onderneming vooraf afspraken te maken over wat gebeurt met het professionele e-mailaccount en andere persoonsgegevens bij het einde van de arbeidsrelatie. Deze afspraken kan u vastleggen in een specifieke IT-policy. Deze zal u als werkgever enerzijds toelaten om te voldoen aan uw transparantieplicht bij de verwerking van persoonsgegevens. Anderzijds laat een duidelijke IT-policy werknemers toe om vooraf te weten waar ze op het vlak van hun persoonsgegevens aan toe zijn bij het einde van de arbeidsrelatie. Werknemers die vooraf goed ingelicht zijn, hebben de kans om tijdens en na hun arbeidsrelatie de maatregelen te nemen die nodig zijn om hun privacy te beschermen. Dit heeft als gevolg dat werknemers zich achteraf in veel mindere mate zullen kunnen beroepen op hun “redelijke privacyverwachtingen” en er dus minder snel sprake is van een schending van het privéleven van de werknemer.

Om de werknemers behoorlijk te informeren moet de IT-policy minstens de volgende vermeldingen bevatten:

• Waarom het professioneel e-mailadres na het einde van de arbeidsrelatie nog even actief zal blijven.
• Waarom de werkgever na de arbeidsrelatie (in uitzonderlijke gevallen) nog toegang moet kunnen hebben tot de mailbox.
• De inhoud van het out of office bericht dat automatisch verstuurd zal worden aan personen die na de arbeidsrelatie nog een mail versturen aan het professioneel e-mailadres.
• In welke gevallen een vertrouwenspersoon kan worden aangesteld om door de mails te gaan.
• De gegevens van de vertrouwenspersoon.

! Het is raadzaam om in uw IT-policy meteen ook afspraken te voorzien voor de omgang met het professionele e-mailaccount van werknemers die gedurende een langere periode afwezig zijn. In dat geval is een verwijdering van het e-mailaccount uiteraard niet nodig, maar is het wel aangewezen om afspraken te maken over een out-of-office-bericht en de vertrouwenspersoon die in geval van nood de mailbox kan consulteren !

4) Wat met het personeelsdossier van ex-werknemers?

Na het einde van de arbeidsrelatie blijven de algemene principes van de GDPR van toepassing. De gouden regel is dus dat u persoonsgegevens in het personeelsdossier van de ex-werknemer niet langer mag bijhouden dan nodig. Persoonsgegevens van ex-werknemers mogen enkel bijgehouden worden, wanneer daartoe een specifieke rechtsgrond bestaat. Bovendien vervalt bij het einde van de arbeidsovereenkomst de rechtsgrond om gegevens te verwerken in het kader van de uitvoering van de arbeidsovereenkomst. De werkgever zal dus op zoek moeten gaan naar een nieuwe rechtsgrond voor alle persoonsgegevens die hij bijhoudt van de werknemer.

In veel gevallen is die rechtsgrond voorhanden. Zo is het uiteraard toegelaten om de persoonsgegevens van een ex-werknemer bij te houden wanneer dit voorgeschreven wordt door een wettelijke verplichting. Onder meer de fiscale-en de pensioenregelgeving verplichten werkgevers om bepaalde gegevens van hun ex-werknemers te bewaren. Het bijhouden van die gegevens na de arbeidsovereenkomst is aldus perfect GDPR-conform.

Een andere rechtsgrond om persoonsgegevens van ex-werknemers bij te houden na de arbeidsrelatie, zijn de gerechtvaardigde belangen van de werkgever. Zo kan de werkgever een gerechtvaardigd belang hebben om de gegevens van de ex-werknemer bij te houden die nuttig kunnen zijn in het kader van een gerechtelijke procedure. In dat geval kan aan de hand van de wettelijke verjaringstermijn bepaald worden hoe lang het nodig is om bepaalde gegevens te bewaren na het einde van de arbeidsrelatie:

• Gegevens over ontslagredenen en opzegvergoeding: 1 jaar
• Gegevens over loon: 5 jaar
• Gegevens over groepsverzekering: 5 jaar na de pensionering van de ex-werknemer (binnenkort dus tot de 72^e verjaardag van de ex-werknemer)

Wanneer er binnen de wettelijke verjaringstermijn geen procedure is ingeleid, moeten de gegevens die in dat verband bewaard werden, verwijderd worden tenzij ze kunnen bijgehouden worden op grond van een andere rechtsgrond.

De persoonsgegevens van de ex-werknemer waarvoor geen rechtsgrond bestaat om ze na het einde van de arbeidsrelatie te verwerken, moeten zo snel mogelijk gewist worden.

In elk geval hebben ex-werknemers het recht om inzage te vragen in hun persoonsgegevens die bijgehouden worden door hun ex-werkgever. Daarnaast kunnen ex-werknemers ook vragen om de wissing van hun persoonsgegevensgegevens als de ex-werkgever ze niet langer nodig heeft voor de doeleinden waarvoor zij verzameld zijn of verwerkt zijn. De werkgever kan deze verzoeken enkel weigeren wanneer daarvoor een gegronde reden is.

5) Foto’s en informatie over ex-werknemers op de website, social media,…

De rechtsgrond voor deze verwerkingen vervalt bij het einde van de arbeidsovereenkomst. De werkgever moet aldus bij het einde van de arbeidsrelatie op eigen initiatief zo snel mogelijk alle verwijzingen naar de ex-werknemer op de website en social media kanalen verwijderen. Het gaat onder meer over de naam van de ex-werknemer, functie, opleiding, foto’s (in het geval van groepsfoto’s volstaat het om ex-werknemers onherkenbaar te maken).

6) Doorgifte van persoonsgegevens van ex-werknemers aan derden

Ook op het vlak van de doorgifte van persoonsgegevens, blijven de regels van de GDPR na het einde van de arbeidsovereenkomst onverminderd gelden. Als werkgever moet u dus uiterst omzichtig te werk gaan bij de doorgifte van persoonsgegevens van ex-werknemers.

In dat kader stelt zich de vraag of u als ex-werkgever uw medewerking kan verlenen bij het referentieonderzoek van de (potentiële) nieuwe werkgever van een ex-werknemer. Dit vormt uiteraard geen probleem wanneer u daartoe de expliciete toestemming heeft van de ex-werknemer. Zonder toestemming van de ex-werknemer is dit minder evident. De ex-werkgever die in dat geval alsnog medewerking wil verlenen aan het referentieonderzoek, kan de toepassing van de GDPR proberen uitsluiten door de informatie strikt mondeling te houden.

7) Afsluiting van toegang ex-werknemer

Tot slot moet de werkgever er steeds op toezien dat ex-werknemers geen toegang meer kunnen krijgen tot de IT-systemen en databases van de onderneming. Ex-werknemers die na de arbeidsrelatie nog toegang hebben tot de persoonsgegevens die bijgehouden worden binnen de onderneming, kunnen aanleiding geven tot een gegevenslek, met alle extra GDPR-verplichtingen van dien.

Tetracademy is het driemaandelijkse juridische tijdschrift van het Brusselse advocatenkantoor Tetra Law. Dit artikel is hieruit overgenomen. Voor meer informatie of om elke nieuwe publicatie te ontvangen, aarzel niet om de Tetracademy te volgen door een e-mail te sturen naar tetracom@tetralaw.com.